Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Podobne dokumenty
Szkolenia certyfikacyjne i biznesowe Red Hat i JBoss współpraca z Partnerami

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Portal Security - ModSec Enterprise

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

OSD 2017 Warszawa , Autor: Piotr Trando Linux Polska

Szkolenia Red Hat i JBoss dodatkowym źródłem dochodów dla Partnerów

Audytowane obszary IT

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

4 WEBINARIA tematyczne, gdzie każde przedstawia co innego związanego z naszym oprogramowaniem.

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

ISO w Banku Spółdzielczym - od decyzji do realizacji

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Szczegółowy opis przedmiotu zamówienia:

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

1. Zakres modernizacji Active Directory

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Red Hat Network Satellite Server

Jak bezpieczne są Twoje dane w Internecie?

Agenda. Quo vadis, security? Artur Maj, Prevenity

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Autoryzowane szkolenia droga do biegłości. Artur Szymczak Instruktor/Altkom

Wybrane problemy bezpieczeństwa w systemach IT.

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

Szkolenie autoryzowane. MS Konfiguracja, zarządzanie i rozwiązywanie problemów Microsoft Exchange Server 2010 SP2

z testów penetracyjnych

epolska XX lat później Daniel Grabski Paweł Walczak

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

! Retina. Wyłączny dystrybutor w Polsce

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Opis przedmiotu zamówienia

7. zainstalowane oprogramowanie zarządzane stacje robocze

Zabezpieczanie platformy Windows Server 2003

Opis Przedmiotu Zamówienia

17-18 listopada, Warszawa

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

POLITYKA E-BEZPIECZEŃSTWA

Bezpieczeństwo systemów internetowych

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Nowe produkty w ofercie Red Hat

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

The Right Direction.

Do wszystkich Wykonawców uczestniczących w postępowaniu

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Bezpieczeństwo danych w sieciach elektroenergetycznych

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Complete Patch Management

Open Source Stack jako. alternatywa

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

STRONGER TOGETHER. Red Hat - program partnerski. Dariusz Świąder B2B Sp. z o. o.

Win Admin Replikator Instrukcja Obsługi

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Zabezpieczanie platformy Windows Server 2003

Marek Pyka,PhD. Paulina Januszkiewicz

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Bezpieczeństwo systemów SCADA oraz AMI

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych

XXIII Forum Teleinformatyki

Zewnętrzne audyty bezpieczeństwa

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Nowy model subskrypcji, dobór produktów Red Hat i JBoss. Grzegorz Niezgoda

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Centrum Innowacji ProLearning

CYBEROAM Unified Treatment Management, Next Generation Firewall

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Dwuwymiarowy sposób na podróbki > 34

Opis przedmiotu zamówienia

LANGUAGE: NO_DOC_EXT: SOFTWARE VERSION: 9.6.5

Kraków Wrocław Poznań Warszawa Gdańsk CLOUD SERVICES & DATA CENTER

OFERTA ABONAMENTOWA OBSŁUGI INFORMATYCZNEJ

OCHRONA DANYCH OSOBOWYCH PO 1 STYCZNIA 2015

ZagroŜenia w sieci. Tomasz Nowocień, PCSS

F-SECURE ZABEZPIECZ SWÓJ BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI

Kraków, 14 listopad 2012 r. ZAPYTANIE OFERTOWE

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

2 Projektowanie usług domenowych w usłudze Active Directory Przed rozpoczęciem... 77

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Badanie bezpieczeństwa infrastruktury sieciowej

Program szkolenia: Bezpieczny kod - podstawy

Wybierz właściwą edycję desktopową Windows 10. Wybierz sposób wdrażania nowych funkcjonalności. Wybierz najlepszą ofertę licencjonowania grupowego

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

SZCZEGÓŁOWY HARMONOGRAM KURSU

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Transkrypt:

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Kim jesteśmy, co oferujemy Nasza oferta usług: Rozszerzone wsparcie lokalne Projektowanie rozwiązań Migracje (JBoss, EDB, RHEL) Audyty bezpieczeństwa i legalności Warsztaty szkoleniowe i szkolenia autoryzowane Nasz zespół wsparcia: RHCA 2 (3 kolejne w trakcie) RHCDS 3 (2 kolejne w trakcie) RHCSS 2 (2 kolejne w trakcie) RHCE 8 ; RHCSP 6 JBoss Application Admin. 5 Postgres Adv. Admin. and Developers 4 Alfresco Developers 3 ITIL, SCRUM, PRINCE 2 2 Certyfikaty bezpeczeństwa (ABW) 2

Company confidential - under NDA Kim jesteśmy, co oferujemy O nas Nasza oferta usług: Rozszerzone wsparcie lokalne Projektowanie rozwiązań Migracje (JBoss, EDB, RHEL) Audyty bezpieczeństwa i legalności Warsztaty szkoleniowe i szkolenia autoryzowane Nasz zespół wsparcia: Nasi partnerzy, produkty i rozwiązania RHCA 2 (3 kolejne w trakcie) RHCDS 3 (2 kolejne w trakcie) RHCSS 2 (2 kolejne w trakcie) RHCE 8 ; RHCSP 6 JBoss Application Admin. 5 Postgres Adv. Admin. and Developers 4 Alfresco Developers 3 ITIL, SCRUM, PRINCE 2 2 Certyfikaty bezpeczeństwa (ABW) 2 www.linuxpolska.pl

Agenda 1. Zagrożenia i cele ataków. 2. Audyty bezpieczeństwa. 3. Wymagania pod kątem audytu + kroki przygotowawcze. 4. Open Source Security Testing Methodology. 5. Testy penetracyjne co wnoszą, przedstawienie oferty LP 6. Przystosowanie systemów RHEL pod CIS, PCI DSS (wskazówki, drogowskazy) przy konfiguracji systemów i usług aplikacyjnych 7. Co zrobić, aby zwiększyć bezpieczeństwo? 8. Model subskrypcyjny, enterprise agreement. 9.Szkolenia LP - hardening.

Zagrożenia Zakłócenie pracy systemu Brak dostępu do systemu/informacji Kradzież lub modyfikacja poufnych danych Podmiana treści stron publicznych Malware SPAM

Cele ataków Banki i instytucje finansowe Korporacje Systemy przemysłowe Małe i średnie firmy Użytkownicy końcowi W efekcie: Zachwianie pozycji biznesowej Straty finansowe Utrata wiarygodności wobec Klienta Udział w botnetach

Dlaczego jest aż tak źle? Brak wiedzy Brak doświadczenia Brak świadomości Brak czasu Brak pieniędzy Należy korzystać z usług specjalistów.

Audyty bezpieczeństwa Kompleksowe badanie systemu informatycznego organizacji i związanych z nim zasobów W praktyce prace audytorskie podzielić można na: Analizę bezpieczeństwa infrastruktury systemowej Analizę bezpieczeństwa infrastruktury sieciowej Analizę bezpieczeństwa infrastruktury aplikacyjnej Analizę zachowań użytkowników końcowych (świadomość!) Analizę kontroli dostępu do danych/zasobów Analizę kontroli dostępu fizycznego Analizę procedur i wykorzystywanych polityk Analizę oprogramowania pod kątem licencyjnym

Audyty bezpieczeństwa Cel: Weryfikacja stanu bezpieczeństwa organizacji Jak dobrze radzi sobie bezpieczeństwo? System informatyczny jest tak bezpieczny, jak jego najsłabsze ogniwo.

OSSTM Open Source Security Testing Metodology mapa drogowa dla audytora autorstwa ISECOM Czym jest audyt według OSSTM? - wynik analizy raportu OSSTM definiuje pięć kanałów: - Human, - Physical - Wireless - Telecommunications - Data Networks Mierzalne i porównywalne wyniki. Świetnie nadaje się do testowania środowisk cloud

Separacja i kontrola Bezpieczeństwo jest funkcją separacji. Threat może dotknąć zasób. 100% oddzielenie threatu i zasobu to brak funkcjonalności. Mechanizmy kontroli na różnych poziomach Jakiekolwiek rozwiązanie security jest lepsze niz jego brak?

Rodzaje testów testy penetracyjne ethical hacking security assessments oceny bezpieczeństwa vulnerability assessments oceny podatności red-teaming Blue-teaming Audyt bezpieczeństwa!= test penetracyjny

Testy penetracyjne Metoda badania poziomu bezpieczeństwa systemu IT polegająca na jak najbliższym naśladowaniu działań intruza Symulowany atak Legalny hacking Testy penetracyjne podzielić można na: Blackbox (minimum wiedzy na temat badanego systemu) Whitebox (pełna wiedza)

Testy penetracyjne Co chcemy przetestować (assets), a także kiedy i gdzie? Definicja obszaru wystąpień mechanizmów zabezpieczeń i procesów, wokół którego będziemy testować Definicja wszystkiego poza powyższym obszarem (scope) Interakcja scope'a z obszarami zewnętrznymi (vector) W jaki sposób? (rozkład procesu na elementarne części, kanały) Typ testu oraz określenie czego oczekujemy od testu Wynik: obszar ataku czyli niechroniona część scope'a

Testy penetracyjne Klienci pytają zazwyczaj o wycenę testów penetracyjnych: aplikacji webowych oraz serwerów HTTP (OWASP Testing Guide, OWASP Top 10) serwerów współpracy grupowej (poczta, kalendarze) systemów firewall/gateway/vpn systemów operacyjnych wraz z usługami pod kątem poprawnej konfiguracji zgodnej z polityką i standardami

Testy penetracyjne - korzyści Zwiększenie poziomu bezpieczeństwa infrastruktury poprzez wykrycie i usunięcie błędów krytycznych Podniesienie poziomu wiedzy kadry IT Ochrona marki, reputacji oraz partnerów biznesowych Uzasadnienie inwestycji związanych z bezpieczeństwem infrastruktury Możliwość skorzystania z dodatkowych konsultacji i zaleceń

Testy penetracyjne - oferta Oferta Linux Polska fokusuje się głównie na testach i analizie konfiguracji systemu Linux oraz oprogramowania open source: Wyszukiwanie podatności systemów operacyjnych (wewnętrzne i zewnętrzne) Analiza plików konfiguracyjnych krytycznych usług i aplikacji Testowanie aplikacji www wraz z serwerami HTTP oraz innych usług sieciowych Analiza mechanizmów uwierzytelnienia i autoryzacji oraz jakości używanych haseł Testowanie firewalli, routerów, bramek VPN oraz serwerów PROXY Testowanie działania systemów antywirusowych oraz antyspamowych Analiza kodów źródłowych aplikacji i usług Analiza powłamaniowa

Wykorzystywane oprogramowanie Backtrack Metasploit Sectool OSSEC RHN Satellite Server + Nessus

Co zrobić, aby zwiększyć bezpieczeństwo? Red Hat Enterprise Linux: stabilność certyfikacje H&S okres utrzymania wersji od 7 do 10 lat Bezpieczeństwo: EAL4+, Labeled Security Protection Profile, CAPP, RBACPP

Subskrypcje, enterprise agreement Opłaty pobierane na podstawie ilości systemów lub produktów Red Hat Usługi subskrypcyjne obejmują: dostęp do wspieranego oprogramowania (produkty Red Hat) dostęp do aktualizacji, poprawek błędów bezpieczeństwa i błędów funkcjonalnych wsparcie techniczne Open Source Assurance

Standardy bezpieczeństwa Przystosowanie systemów pod kątem standardów: - Center for Information Security (CIS) - Payment Card Industry Data Security Standard (PCI DSS) Zwrócenie uwagi na szczegóły konfiguracyjne systemu: partycjonowanie, zbędne pakiety i usługi, SELinux, FW, suid/sgid, uprawnienia, zarządzanie hasłami, syslog, auditd, SSH, USB, banery, PAM, sysctl, GRUB, su/sudo,lkm,poprawna konfiguracja demonów, backup, aide, algorytmy szyfrowania

Szkolenia w ofercie Linux Polska Hardening systemu Red Hat Enterprise Linux 6 do poziomu spełniającego standardy DSS. SELinux - tworzenie i zarządzanie polityką bezpieczeństwa. Autoryzowana ścieżka Red Hat Certified Security Specialist: RHS333 Network Services Security RHS429 SELinux Policy Administration RH423 Directory Services and Authentication + usługi zabezpieczania systemów oraz usług (hardening, np. mod_security)

Dziękuję www.linuxpolska.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres